Was ist das Verarbeitungsverzeichnis?

In der täglichen Praxis zeigt sich immer wieder, dass insbesondere das Führen von Verarbeitungsverzeichnissen für Unternehmer jeglicher Art erhebliche Hürden darstellt. Die Auswirkungen des Fehlens solcher Verzeichnisse zeigen sich in aller Regel nicht sofort, sondern erst wenn „das Kind in den Brunnen gefallen ist“. Denn kommt die Datenschutzbehörde auf den Unternehmer aus welchem Grund auch immer zu, verlangt sie als erstes die Vorlage der Verzeichnisse, vgl. Art. 30 Abs. 4 DSGVO.

Die Pflicht zum Führen solcher Verzeichnisse trifft praktisch jedes Unternehmen. Eine Befreiung dieser schriftlichen oder elektronischen Dokumentation gilt nach Art. 30 Abs. 5 DSGVO für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Diese Ausnahme greift jedoch nicht, wenn

  • die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
  • die Verarbeitung nicht nur gelegentlich erfolgt oder
  • eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels erfolgt.

Ist mindestens eine von drei Fallgruppen erfüllt, so besteht weiterhin die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. In der Praxis dürften diese Ausnahmen nur selten greifen, da die Verarbeitung nur selten kein Risiko für die Rechte und Freiheiten der betroffenen Personen entfaltet.

Diese Ausnahme greift indes nur, wenn die personenbezogenen Daten „nicht nur gelegentlich“ verarbeitet werden. Leider gibt es (noch) keine eindeutige Rechtsprechung darüber, was „nicht nur gelegentlich“ bedeutet. Viele Verarbeitungen werden ohnehin auf längere Sicht (z.B. der Betrieb einer Website) angelegt sein, sodass „gelegentlich“ eine sehr seltene Ausnahme sein dürfte.

Die Verarbeitungsverzeichnisse müssen daher immer intern vorgehalten werden. Sie sind die Grundlage jeder datenschutzrechtlichen Prüfung durch Aufsichtsbehörden. Da die DSGVO schon sein einiger Zeit in Kraft ist, wird man inzwischen bei einer Behörde auch nicht auf viel Verständnis und Beratungswillen seitens der Sachbearbeiter stoßen.

Zudem zeigt ein gut geführtes Verzeichnis, dass Sie Datenschutz ernst nehmen und entsprechende Vorkehrungen treffen. Dies kann auch gegenüber Kunden eine vertrauensbildende Maßnahme darstellen. Zudem lassen sich neue Verarbeitungen schneller und einfacher datenschutzrechtlich umsetzten, weil eine Integration in die bestehenden Verarbeitungen deutlich leichter fällt. Zudem gibt das Verzeichnis umfangreichen Datenverarbeitungen eine Struktur und erhält den eigenen Überblick.

Welches Verzeichnis brauche ich?

Es gibt zwei Arten von Verzeichnissen: Das Verzeichnis der eigenen Verantwortlichkeit (Art 30 Abs. 1 DSGVO) und das Verzeichnis als Auftragsverarbeiter (Art 30 Abs. 2 DSGVO).

Die eigene Verantwortlichkeit ist der Regelfall. Dabei ist das Unternehmen, welches die Daten für eigene Zwecke verarbeitet der Ansprechpartner des Betroffenen.

Davon zu unterscheiden ist das Verzeichnis des Auftragsverarbeiters. Übernimmt das verarbeitende die Datenverarbeitung von einem Dritten, also hat es keine eigenen Interessen an den Daten, so liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Das Unternehmen handelt dabei streng nach Weisung des Dritten. Der Dritte ist gegenüber den Betroffenen Ansprechpartner und „Verantwortlicher“. Klassischer Fall ist die Auslagerung von bestimmten Tätigkeiten auf einen Dienstleister. Für diese Konstellation ist ein gesondertes Verzeichnis beim Auftragnehmer zu führen, Art. 30 Abs. 2 DSGVO.

Die Unterscheidung kann manchmal schwierig sein. Sollte Unsicherheit bestehen, ist eine individuelle Beratung vor Aufnahme der Verarbeitungstätigkeit zu empfehlen.

Was muss in das Verzeichnis?

Das in Textform oder als elektronisches Dokument zu führende Verfahrensverzeichnis muss so detailliert sein, dass die zuständige Aufsichtsbehörde die einzelnen Verarbeitungsvorgänge kontrollieren kann. Das Verzeichnis der eigenen Verantwortlichkeit muss keine konkreten Daten der gesamten Betroffenen beinhalten. Es beschreibt alle Verarbeitungsvorgänge zwar konkret, aber in Kategorien. Auch die Betroffenen und deren Daten werden nur kategorisiert. Dabei wird jeder Verarbeitungsvorgang tabellarisch aufgelistet und betroffenen Personenkategorien (z.B. „Kunden“ „Website-Besucher“ „Lieferanten“ etc.) und deren Daten zugeordnet. Dies erfordert eine individuelle Auseinandersetzung mit allen Abläufen im Unternehmen. Nicht nur die Website ist betroffen, sondern auch die Buchhaltung oder das Personalmanagement. Welche Angaben das Verzeichnis enthalten soll, bestimmt der Art 30 Abs.. 1 lit. a-g DSGVO.

Bei dem Verzeichnis über die Auftragsverarbeitung werden andere Informationen hinterlegt. Wichtig ist hier, dass jeder Auftraggeber, für den Verarbeitungen im Auftrag gemacht werden, im Verzeichnis individuell auftaucht. Kategorien von Verarbeitungen werden ebenfalls benannt. Unterscheiden sich die Verarbeitungen, muss auch das individuell auftauchen. Hier ist auch ein guter Auftragsverarbeitungsvertrag Basis eines gut gepflegten Verzeichnisses.

Die nötigen Inhalte sind hier nicht abschließend aufgezählt, um die Kerngesichtspunkte herauszustellen.

Die in der DSGVO erforderliche Dokumentationspflicht ist allein mit dem Führen des Verarbeitungsverzeichnisses nicht erfüllt. So muss/sollte zusätzlich auch Vorliegen einer Einwilligung entsprechend des Art 7 DSGVO dokumentiert werden.